Permissões do IAM necessárias para o Elastic Beanstalk acessar segredos e parâmetros - AWS Elastic Beanstalk
Permissões do Secrets ManagerPermissões do Systems Manager Parameter Store

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões do IAM necessárias para o Elastic Beanstalk acessar segredos e parâmetros

Você deve conceder as permissões necessárias às instâncias do EC2 do seu ambiente para buscar os segredos e os parâmetros do AWS Systems Manager Parameter AWS Secrets Manager Store. Permissões são fornecidas às instâncias do EC2 por meio de um perfil de instância do EC2.

As seções a seguir listam as permissões específicas que você precisa adicionar a um perfil de instância do EC2, dependendo do serviço usado. Siga as etapas fornecidas em Atualizar a política de permissões para um perfil no Guia do usuário do IAM para adicionar essas permissões.

Permissões do IAM para a plataforma Docker gerenciada pelo ECS

A plataforma Docker gerenciada pelo ECS exige permissões adicionais do IAM além das fornecidas neste tópico. Para obter mais informações sobre todas as permissões necessárias para que seu ambiente de plataforma Docker gerenciado pelo ECS ofereça suporte à integração das variáveis de ambiente do Elastic Beanstalk com segredos, consulte Formato do ARN do perfil de execução.

Permissões IAM necessárias para o Secrets Manager

As permissões a seguir concedem acesso para buscar segredos criptografados na AWS Secrets Manager loja:

  • gerente de segredos: GetSecretValue

  • kms:Decrypt

A permissão para descriptografar um só AWS KMS key é necessária se seu segredo usar uma chave gerenciada pelo cliente em vez da chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente.

exemplo política com permissões de chaves do Secrets Manager e do KMS
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}

Permissões do IAM necessárias Systems Manager Parameter Store

As permissões a seguir concedem acesso para buscar parâmetros criptografados do AWS Systems Manager Parameter Store:

  • sms: GetParameter

  • kms:Decrypt

A permissão para descriptografar um AWS KMS key é necessária somente para tipos de SecureString parâmetros que usam uma chave gerenciada pelo cliente em vez de uma chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente. Os tipos de parâmetros regulares que não são criptografados String e StringList não precisam de um AWS KMS key.

exemplo política com Systems Manager e AWS KMS principais permissões
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}